安全网络论文大全11篇
时间:2023-03-23 15:11:55绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇安全网络论文范文,希望它们能为您的写作提供参考和启发。
篇(1)
1.1设备依赖性。
不同于过往的档案记载,信息化的档案资料再也不是一支笔、一份纸记录的过程,从输入到输出都是经由计算机与其辅助设备实现,管理与传输也都依赖各种软件与网络资源共享,信息处理速度与质量在某些程度上依赖于计算机的性能与软件的适应性。
1.2易控性和可变性。
信息化的档案资料一般是以通用的文档、图片、视频、音频等形式储存下来,这给信息共享带来了便利,但也增加了档案资料的易控性和可变性,对于文档资料可以通过office工具删除修改文字、对于图片资料可以通过photoshop轻易地改变其原有的面貌、对于音频和视频资料可以通过adobeaudition和premiere工具的剪辑变成完全不同的模样,这些都造成了档案信息易丢失的现象。
1.3复杂性。
档案信息量不断增加、信息存储形式也变得丰富多样,不仅有前文所述的文档、图像、视频、音频等形式,不同格式之间的信息资料还可以相互转换,如视频与图片、文字与图片的转换等等,进一步增加了档案信息的复杂性。
2目前网络环境下档案信息安全管理存在的问题
2.1网络环境下档案信息安全问题的特性。
档案信息化有其显著特征,在此基础上的档案信息安全问题属性也发生了较大变化。首先表现在信息共享的无边界性,发达的网络技术使得整个世界变成一张巨大的网,上传的信息即使在大洋彼岸也能及时查看,一旦信息泄露,传播的范围广、造成的危害难以估量。同时,在某种程度上档案信息化系统也存在着脆弱性问题,计算机病毒可以入侵系统的众多组成部分,而任何一部分被攻击都可能造成整个系统的崩溃。此外,网络安全问题还存在一定的隐蔽性,无需面对面交流,不用对话沟通,只需打开一个网页或是鼠标轻轻点击,信息就会在极短时间内被窃取,造成严重后果。
2.2网络环境下档案信息安全面临的主要问题。
1)档案信息化安全意识薄弱。很多情况下,档案信息被窃取或损坏并不是因为入侵者手段高明,而是档案信息管理系统自身安全漏洞过多,其本质原因是档案信息管理安全意识不够。受传统档案管理观念的桎梏、自身技术水平的限制,很多管理人员并未将档案信息看作极为重要的资源,对相关资料处理的随意性大,也无法觉察到潜在的风险,日常操作管理不规范,增加了档案安全危机发生的可能性。
2)档案信息化安全资金投入不够。现代信息环境复杂多变,数据量急剧增加,信息管理难度也越来越大,对各种硬件、软件设备的要求也进一步提高,需要企业在档案信息管理方面投入更多的人力、物力,定期检查系统漏洞。而就目前情况而言,大部分企业在这方面投入的资源还远远达不到要求,档案信息管理的安全性得不到有效保障。
3)档案信息化安全技术问题。技术问题首先表现在互联网自身的开放性特征中,互联网的基石是TCP/IP协议,以效率和及时沟通性为第一追求目标,必然会导致安全性的牺牲,诸如E-mail口令与文件传输等操作很容易被监听,甚至于不经意间计算机就会被远程操控,许多服务器都存在可被入侵者获取最高控制权的致命漏洞。此外,网络环境资源良莠不齐,许多看似无害的程序中夹杂着计算机病毒代码片段,隐蔽性强、传染性强、破坏力大,给档案信息带来了严重威胁。
3网络环境下实现档案信息安全保障原则
3.1档案信息安全的绝对性与相对性。
档案信息安全管理工作的重要性是无需置疑的,是任何企业特别是握有核心技术的大型企业必须注重的问题,然而,档案信息管理并没有一劳永逸的方法,与传统档案一样,不存在绝对的安全保障,某一时期看起来再完善的系统也会存在不易发现的漏洞,随着科技的不断发展,会愈来愈明显地暴露出来。同时,档案信息安全维护技术也没有绝对的优劣之分,根据实际情况的需求,简单的技术可能性价比更高。
3.2管理过程中的技术与非技术因素。
档案信息管理工作不是单一的网络技术维护人员工作,也不是管理人员的独角戏,而需要技术与管理的有机结合。档案管理人员可以不具备专业网络技术人才的知识储备量,但一定要具备发现安全问题的感知力与责任心,对于一些常见入侵迹象要了然于心,对于工作中出现的自身无法解决的可疑现象应及时通知更专业的技术人员查看。可根据企业实际情况建立完善的档案安全管理机制,充分调动各部门员工的力量,以系统性、全面性的理念去组织档案信息管理工作。
4网络环境下档案信息安全管理具体保障方法
4.1建立制度屏障。
完善的制度是任何工作顺利进行的前提与基础,对于复杂网络环境下的档案信息安全管理工作来说更是如此。在现今高度发达的信息背景下,档案管理再不是锁好一扇门、看好一台计算机的简单工作,而是众多高新技术的集合体,因此,做好档案信息安全管理工作首先要加强安全意识的宣传,包括保密意识教育与信息安全基础教育,加强档案管理人员特别是技术操作人员的培训工作。同时,应注重责任制度的落实,详细规定库房管理、档案借阅、鉴定、销毁等责任分配,详细记录档案管理培训与考核工作、记录进出档案室的人员信息,具体工作落实到人。在实际操作中,应严格记录每一个操作步骤,将档案接收、借阅、复制等过程完整、有条理地编入类目中,以便日后查阅。
4.2建立技术屏障。
网络环境下的信息安全技术主要体现在通信安全技术和计算机安全技术两个方面。
1)通信安全技术。通信安全技术应用于档案资料的传输共享过程中,可分为加密、确认与网络控制技术等几大类。其中,信息加密技术是实现档案信息安全管理的关键,通过各种不同的加密算法实现信息的抽象化与无序化,即使被劫持也很难辨认出原有信息,这种技术性价比高,较小的投入便可获得较高的防护效果。档案信息确认技术是通过限制共享范围达到安全性要求,每一个用户都掌握着识别档案信息是否真实的方案,而不法接收者难以知晓方案的实际内容,从而预防信息的伪造、篡改行为。
2)计算机安全技术。从计算机安全角度入手,可采用芯片卡识别制度,每一名合法使用者的芯片卡微处理机内记录特有编号,只有当编号在数据库范围内时方可通过认证,防止档案信息经由计算机存储器被窃的现象发生。同时,应加强计算机系统的防火墙设计,注意查找系统漏洞。
篇(2)
(1)个人信息的泄露。在网络工程当中,对于系统硬件、软件的相关维护工作还不够完善,同时网络通信当中的许多登录系统需要借助远程终端来完成,造成系统远程终端和网络用户在用户运用互联网进入对应系统时存在长远的连接点,当信息在进行传输时,这些连接点很容易引起黑客对用户的入侵以及攻击,使得用户信息被泄露,个人信息安全得不到保障。
(2)网络通信结构不完善。网间网的技术给网络通信提供了技术基础,用户通过IP协议或TCP协议得到远程授权,登录相关互联网系统,通过点与点连接的方式来进行信息的传输。然而,网络结构间却是以树状形式进行连接的,当用户受到黑客入侵或攻击时,树状结构为黑客窃听用户信息提供了便利。
(3)相关网络维护系统不够完善。网络维护系统的不完善主要表现软件系统的安全性不足,我们现在所使用的计算机终端主要是依靠主流操作系统,在长时间的使用下需下载一些补丁来对系统进行相关的维护,导致了软件的程序被泄露。
2对于网络通信中存在的信息安全问题的应对方案
对于上述的种种网络通信当中存在的信息安全问题,我们应当尽快地采取有效的对策,目前主要可以从以下几个方面入手:
(1)用户应当保护好自己的IP地址。黑客入侵或攻击互联网用户的最主要目标。在用户进行网络信息传输时,交换机是进行信息传递的重要环节,因此,用户可以利用对网络交换机安全的严格保护来保证信息的安全传输。除此之外,对所使用的路由器进行严格的控制与隔离等方式也可以加强用户所使用的IP地址的安全。
(2)对信息进行加密。网络通信中出现的信息安全问题主要包括信息的传递以及存储过程当中的安全问题。在这两个过程当中,黑客通过窃听传输时的信息、盗取互联网用户的相关资料、对信息进行恶意的篡改、拦截传输过程中的信息等等多种方法来对网络通信当中信息的安全做出威胁。互联网用户如果在进行信息传递与存储时,能够根据具体情况选用合理的方法来对信息进行严格的加密处理,那么便可以有效地防治这些信息安全问题的产生。
(3)完善身份验证系统。身份验证是互联网用户进行网络通信的首要步骤。在进行身份验证时一般都需要同时具备用户名以及密码才能完成登录。在验证过程当中用户需要注意的是要尽量将用户名、密码分开储存,可以适当地使用一次性密码,同时还可以利用安全口令等方法来保证身份验证的安全。随着科技的快速发展,目前一些指纹验证、视网膜验证等先进生物检测方法也慢慢得到了运用,这给网络通信信息安全提供了极大的保障。
篇(3)
这方面的威胁主要和计算机网络关口安全设置以及内部系统漏洞的修复有着直接的关系。就目前而言,我们使用的很多计算机软件本身都是具有安全漏洞的,这些漏洞的存在会遭到黑客的攻击。如果网络设备本身不够规范也会给计算机的安全造成严重的威胁,特别是进行内部局域网端口设置的时候,必须重视权限方面的设置,不断的提高用户本身的安全意识。新形式下的网络管理安全技术分析文/刘瑛随着科技和计算机技术的不断发展,在我们的生活和工作中,网络已经成为了非常重要的组成部分,但是计算机的安全问题也与之俱来。在我们进行计算机管理的时候,各种安全隐患也层出不穷。本文主要对计算机网络管理中存在的安全问题进行分析,并根据问题的症结找到了一些措施,希望能够提高计算机网络管理的安全性。摘要
1.2第三方网络攻击
此处的第三方网络攻击,一般指的是计算机病毒、木马植入以及黑客的攻击等等。不法分子利用木马能够侵入计算机系统中去,破坏计算机内部的程序,而用户却很难察觉到。计算机病毒的生命力非常的顽强,并且随着计算机的进步和发展,病毒也在不断的更新。此外,计算机病毒有着隐蔽性、传播性以及破坏性的特征,都给计算机造成了非常大的威胁。
2计算机网络管理以及安全技术
在人们应用计算机网络的时候,安全问题是不得不考虑的一个重要问题,只有做好网络安全管理,才能够保证人们在使用计算机网络的时候,信息是相对安全的,而做好计算机网络安全管理,也是计算机专业人才的一个重要责任。
2.1对网络安全保障措施进行完善,确保其是完整的
计算机网络本身并不是独立存在的,其是一个完整的系统,所以在采取措施进行计算机网络安全维护的时候必须考虑到计算机系统本身的整体性,采取措施确保网络安全保障本身是完整的,这就需要做好各个环节的安全维护工作,比如说系统内部、应用程序、网络端口、文件管理以及内网和外网的过渡带等一些地方,都必须采取措施保证安全防范的严密性,这样才能够更好地保证安全技术本身的整体性能。
2.2网络管理以及通信安全方面的技术
一般情况下,网络管理指的便是全面监控计算机内部网络的实际使用情况,比如说对计算机上网的流量进行监控、进行故障检测报警、管理计算机网关。在进行工作的时候,网络管理系统会职能自动化的检测计算机的实际网络情况,这样能够更好的提高计算机网络本身的可信度和可靠性。
2.3计算机加密方面的技术
计算机加密技术主要是对计算机的一些内部信息进行一定的维护,从而确保计算机以及网络信息本身是安全的。就目前而言,现在的加密技术已经有了一定的进步,结构不再像以往加密技术一样的单一,并形成了计算机加密系统,新的系统已经将保密性、完整性、真实性以及可控性结合在了一起,这对计算机信息安全起到了重要的保护作用。
2.4计算机防火墙方面的技术
防火墙技术能够更好的防止计算机网络访问非法的情况,其类型也比较多,比如说过滤型防火墙、网络地址转换型防火墙、型防火墙、监测型防火墙。虽然这些防火墙本身的类型有一定的区别,但是都可以对网络访问控制进行加强,在一定程度上避免外部网络用户非法侵入的出现,维护了用户的网络使用安全。
2.5计算机网络防病毒的相关技术
一般情况下,网络防病毒技术指的便是利用一些专门的技术或者手段来对计算机病毒造成的系统破坏进行一定的预防。目前的计算机防病毒技术一般包含了病毒的预防以及病毒的清理两个重要方面,计算机病毒预防是和病毒检测技术的实际发展情况有着直接联系的,系统应该根据最新发现的病毒及时的进行病毒库的更新。在计算机病毒检测结束之后,就必须根据实际的情况进行计算机病毒的清理,由此我们也能够发现计算机病毒清理的被动性比较的明显。
篇(4)
中图分类号:TP393.08
文献标识码:A
文章编号:1672-3198(2009)13-0245-02
1 网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如:利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号;有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听。并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名―IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器。也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
2 计算机网络中的安全缺陷及产生的原因
(1)网络安全天生脆弱。
计算机网络安全系统的脆弱性是伴随计算机网络一同产生的,换句话说,安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中,网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷,又要保证网络安全,这是一个非常棘手的“两难选择”,而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的。
(2)黑客攻击后果严重。
近几年,黑客猖狂肆虐,四面出击,使交通通讯网络中断,军事指挥系统失灵,电力供水系统瘫痪,银行金融系统混乱……危及国家的政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。
(3)网络杀手集团化。
目前,网络杀手除了一般的黑客外,还有一批具有高精尖技术的“专业杀手”,更令人担忧的是出现了具有集团性质的“网络”甚至政府出面组织的“网络战”、“黑客战”,其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说,由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前,美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外,为达到预定目的,对出售给潜在敌手的计算机芯片进行暗中修改,在CPU中设置“芯片陷阱”,可使美国通过因特网指令让敌方电脑停止工作,以起到“定时炸弹”的作用。
(4)破坏手段多元化。
目前,“网络”除了制造、传播病毒软件、设置“邮箱炸弹”,更多的是采取借助工具软件对网络发动袭击,令其瘫痪或者盗用一些大型研究机构的服务器,使用“拒绝服务”程序,如TFN和与之相近的程序等,指挥它们向目标网站传输远远超出其带宽容量的垃圾数据,从而使其运行中断。多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且,黑客们还可以把这些软件神不知鬼不觉地通过互联网安装到别人的电脑上,然后,在电脑主人根本不知道的情况下“借刀杀人”。
3 安全防范措施
(1)提高思想认识。
近年来,中国的网络发展非常迅速,同时,中国的网络安全也越来越引起人们的关注,国家权威部门曾对国内网站的安全系统进行测试,发现不少单位的计算机系统都存在安全漏洞,有些单位还非常严重,随时可能被黑客入侵。当前,世界各国对信息战十分重视,假如我们的网络安全无法保证,这势必影响到国家政治、经济的安全。因此,从思想上提高对计算机网络安全重要性的认识,是我们当前的首要任务。
(2)加强管理制度。
任何网站都不是绝对安全的,值得一提的是,当前一些单位在急忙赶搭“网络快车”时,只管好用,不管安全,这种短视必然带来严重的恶果,与“网络”的较量是一场“看不见硝烟的战争”,是高科技的较量,是“硬碰硬”的较量。根据这一情况,当前工作的重点,一是要狠抓日常管理制度的落实,要把安全管理制度落实到第一个环节中;二是要加强计算机从业人员的行业归口管理,对这些人员要强化安全教育和法制教育,建立人员管理档案并进行定期的检查和培训;三是要建立一支反黑客的“快速反应部队”,同时加快加紧培养高水平的网络系统管理员,并尽快掌握那些关键技术和管理知识。
(3)强化防范措施。
一般来说,影响计算机网络安全的因素很多,但目前最主要的因素是接受电子邮件和下载软件两种。下面就这两种方式谈谈基本的防范措施:切实保护电子邮件的安全:做好邮件帐户的选择。现在互联网上提供的E-MAIL帐户
主要都是免费帐户,这些免费的服务不提供任何有效的安全保障而且有的免费邮件服务器常常会导致邮件受损。所以,单位用户应该选择收费邮件帐户。做好邮件帐户的安全防范。一定要保护好邮箱的密码。在WEB方式中,不要使用IB的自动完成功能,不要使用保存密码功能以图省事,入网帐号与口令应该是需要保护的重中之重,密码要取得有技巧、有难度,密码最好能有8位数,且数字字母相间,中间还代“*”号之类的允许怪符号。
防止邮件炸弹。下面介绍几种对付电子邮件炸弹(E-MAIL BOMB)的方法:
①过滤电子邮件。凡可疑的E-MAIL尽量不要开启:如果怀疑信箱有炸弹,可以用邮件程序的远程邮箱管理功能来过滤信件,如国产的邮件程序Foxmail。在进行邮箱的远程管理时,仔细检查邮件头信息,如果发现有来历可疑的信件或符合邮件炸弹特征的信件,可以直接把它从邮件服务器上删除。
②使用杀毒软件。一是邮件有附件的话,不管是谁发过来的,也不管其内容是什么(即使是文档,也往往能成为病毒的潜伏场所,像著名的Melissa),都不要立即执行,而是先存盘,然后用杀毒软件检查一番,以确保安全。二是注意目前网上有一些别有用心的人以网站的名义,让你接受他们通过邮件附件推给你的软件,并以种种借口要求你立即执行。对此,凡是发过来的任何程序、甚至文档都应用杀毒软件检查一番。
③使用转信功能。用户一般都有几个E-mail地址。最好申请一个容量较大的邮箱作为收信信箱,如777信箱(mail.省略)速度也很快。对于其它各种信箱,最好支持转信功能的,并设置转信到大信箱。所有其它邮件地址的信件都会自动转寄到大信箱内,可以很好地起到保护信箱的作用。
④申请邮件数字签证。现在国内的首都在线(省略)提供了邮件数字签证的服务。数字签证不但能够保护邮件的信息安全,而且通过它可以确认信件的发送者。最后要注意对本地的已收发邮件进行相应的删除处理。切实保障下载软件的安全。对于网络软件,需要指出的是,我们对下载软件和接受的E-MAIL决不可大意。在下载软件时应该注意:下载软件应尽量选择客流大的专业站点。大型的专业站点,资金雄厚,技术成熟,水平较高,信誉较佳,大都有专人维护,安全性能好,提供的软件问题较少。
篇(5)
2)局域网的管理。局域网管理是影响局域网功能能否充分发挥的重要因素。依据对象的不同可将管理内容分为人的管理与局域网的管理,其中对人的管理主要体现在:要求局域网使用人员严格按照制定的规章制度使用局域网,要求其不人为破坏局域网的软、硬件,以及其他重要设施。而对局域网的管理则包括局域网结构的选择、局域网功能的扩展以及局域网所处环境的优化等内容,一方面根据局域网的规划功能选择合理的局域网拓扑结构。另一方面扩展局域网功能时应综合考虑经济投入,实现目标等内容,要求在实现局域网相关功能的基础上最大限度的降低经济投入。另外,优化局域网环境时应重点考虑人员配备与局域网性能的匹配,以确保局域网资源的充分利用。
2局域网网络安全研究
局域网网络安全是业内人士讨论的经典话题,而且随着互联网攻击的日益频繁,以及病毒种类的不断增加与衍生,使人们不得不对局域网安全问题进行重新审视。采取何种防范手段确保局域网安全仍是人们关注的重点。那么为确保局域网网络安全究竟该采取何种措施呢?接下来从物理安全与访问控制两方面进行探讨。
1)物理安全策略。物理安全策略侧重在局域网硬件以及使用人员方面对局域网进行保护。首先,采取针对性措施,加强对局域网中服务器、通信链路的保护,尤其避免人为因素带来的破坏。例如,保护服务器时可设置使用权限,避免无权限的人员使用服务器,导致服务器信息泄露;其次,加强局域网使用人员的管理。通过制定完善的工作制度,避免外来人员使用局域网,尤其禁止使用局域网时随意安装相关软件,拆卸局域网硬件设备;最后,提高工作人员局域网安全防范意识。通过专业培训普及局域网安全技术知识,使局域网使用者掌握有效的安全防范技巧与方法,从内部入手做好局域网安全防范工作。
2)加强访问控制。访问控制是防止局域网被恶意攻击、病毒传染的有效手段,因此,为进一步提高局域网安全性,应加强访问控制。具体应从以下几方面入手实现访问控制。首先,做好入网访问控制工作。当用户试图登录服务器访问相关资源时,应加强用户名、密码的检查,有效避免非法人员访问服务器;其次,给用户设置不同的访问权限。当用户登录到服务器后,为防止无关人员获取服务器重要信息,应给予设置对应的权限,即只允许用户在权限范围内进行相关操作,访问相关子目录、文件夹中的文件等,避免其给局域网带来安全威胁;再次,加强局域网的监测。网络管理员应密切监视用户行为,详细记录其所访问的资源,一旦发现用户有不法行为应对其进行锁定,限制其访问;最后,从硬件方面入手提高网络的安全性。例如,可根据保护信息的重要程度,分别设置数据库防火墙、应用层防火墙以及网络层防火墙。其中数据库防火墙可对访问进行控制,一旦发现给数据库构成威胁的行为可及时阻断。同时,其还具备审计用户行为的功能,判断中哪些行为可能给数据库信息构成破坏等。应用层防火墙可实现某程序所有程序包的拦截,可有效防止木马、蠕虫等病毒的侵入。网络层防火墙工作在底层TCP/IP协议堆栈上,依据制定的规则对访问行为进行是否允许访问的判断。而访问规则由管理员结合实际进行设定。
3)加强安全管理。网络病毒由来已久而且具有较大破坏性,因此,为避免其给网络造成破坏,管理员应加强管理做好病毒防范工作。一方面要求用户拒绝接受可疑邮件,不擅自下载、安装可疑软件。另一方面,在使用U盘、软盘时应先进行病毒查杀。另外,安装专门的杀毒软件,如卡巴斯基、360杀毒等并及时更新病毒库,定期对系统进行扫描,以及时发现病毒将其杀灭。另外,安装入侵检测系统。该系统可即时监视网络传输情况,一旦发现可疑文件传输时就会发出警报或直接采用相关措施,保护网络安全。依据方法可将其分为误用入侵检测与异常入侵检测,其中异常检测又被细分为多种检测方法,以实现入侵行为检测,而误用入侵检测包括基于状态转移分析的检测法、专家系统法以及模式匹配法等。其中模式匹配法指将收集的信息与存在于数据路中的网络入侵信息进行对比,以及时发现入侵行为。
篇(6)
(二)网络安全具有一些鲜明的特征,其不同于其他技术,计算机网络是一个虚拟的世界,其特征也是具有多样性的特点。
1.保密性:计算机网络技术应将信息严格保密,未经许可不能向非授权用户及实体进行泄露,也绝对不允许非授权用户使用。
2.完整性:当在网络上进行存储时要具有存储过程中未经授权不能改变和破坏丢失数据的特点。
3.可用性:指的是可以在授权实体的要求下进行使用的特点,通俗的说也就是能够随时存取所需要的信息。网络环境下破坏服务、拒绝服务的系统正常运行就属于针对可用性这一特性的攻击。
4.可控性:可以针对信息的传播进行有效的控制。
5.可审查性:针对安全问题的发生提供有力的手段和依据。
二、购物网站安全现状分析
当前的购物网站安全问题是商业网站发展中的突出问题,随着网络技术的普及和互联网技术的迅速发展,购物网站的规模和复杂性也越来越大,其存在的安全漏洞也越来越多。而且目前的网络攻击现象也不断增多,针对购物网站的漏洞进行恶意攻击的现象不断发生,也构成了购物网站的多种不安全因素。当前的网络攻击行为多种方法混合使用,复杂情况越来越多,隐蔽性也非常强,针对其的防范也越来越困难。黑客攻击购物网站是为了获取实际的经济利益,木马程序、恶意网站等危害网络安全的手段越来越多,日趋泛滥;而且随着人们手中的互联网设备发展越来越迅速,手机等无线掌上终端的处理能力和功能通用性不断提高,针对这些个人无线终端的网络攻击也开始出现,而且呈发展趋势。当前的购物网站通常采用资金通过第三方支付或者网上银行支付的方式来进行支付,这虽然增强了网上购物的支付快捷性,但是其交易的安全性还存在一定的风险。这一类的支付形式,通常很难保障消费者网上消费的安全,一旦在数据的传输过程遭到攻击,消费者的银行信息资料可能被黑客盗取,并为此遭受经济或者隐私损失。随着互联网技术的发展,还有许多恶意程序攻击用户计算机来达到一些不法分子别用用心的目的,可能有计算机用户在进行网上消费时落入恶意程序的陷阱,从而使得黑客通过用户的网上银行进入银行数据库盗取用户信息,给用户造成经济损失。所以,网络安全问题是一个高技术含量的复杂问题,而且越来越变得错综复杂,其造成的恶劣影响也是不断扩大,短期内无法取得成效。因此在网络安全日益严重的今天,必须重视对网络安全的防范,只有做到防范到位,才能保障网络应用的顺利进行。购物网站根据网络安全的防范要求,通常采取一些措施加以防范,保障用户网络安全,主要有以下几点:第一,身份真实性的识别:保障通信实体具有真实的身份;第二,信息机密性:保证机密信息不会泄露给非授权实体;第三,信息的完整性:保证数据的完整性,防止非授权用户对信息的破坏和使用;第四:服务可用性:防止合法用户使用信息被非法拒绝;第五:不可否认性:有效地责任机制可以防止实体否认其行为;第六:系统可控性:可以控制使用资源的实体的使用方式;第七:系统易用性:安全要求满足的情况下,系统的操作要尽量简单;第八:可审查性:可以为出问题的网络安全问题提供调查依据和手段。
三、保障网络工作顺畅的措施
当前阶段,网络工作要保障顺畅,要采取以下措施加以保障:
(一)针对网络病毒进行有效防范
网络病毒是一种危害网络安全的主要方式,其具有传播快,扩散面广、传播载体多样的特点,对于网络病毒的清除也非常困难,其遗留的破坏力也相对较大。而且网络病毒可以邮件附件、服务器、文件共享及邮件等方式进行传播。针对网络病毒要注意几点进行防范,对于不明附件和文件扩展名不打开,不盲目运行程序也不盲目转发不明邮件,在进行系统漏洞及其他操作时从正规的网站下载软件,经常进行病毒的查杀,尽可能使用最新版本的杀毒软件定期进行病毒查杀。
(二)积极采用入侵检测系统
入侵检测技术是一项有效防范网络攻击的手段。其通过对各种网络资源和系统资源信息的采集,并对信息进行有效地判断和分析,来检测其是否具有攻击性和异常行为,通过入侵检测系统的检测可以有效地将有害信息进行剔除,防止其进入网络系统形成实际破坏和网络隐私泄露情况发生。而且,入侵检测系统还可以及时的将用户信息及系统行为进行分析,针对系统漏洞进行检测,及时将有害信息和攻击行为及时通报和响应。
(三)进行防火墙的配置
防火墙是计算机网络安全技术的重要方面。通过防火墙的设置,可以根据计算机系统的要求针对信息进行筛选,允许和限制数据传输的通过。防火墙是一项有效的保护措施。侵入计算机的黑客必须要先通过防火墙的安全警戒,才能到达计算机系统内部。防火墙还可以分成多个级别,形成多重保护。高级别的保护可以根据用户自身要求来对信息进行针对性的保护,这样可以有效保护用户的个人隐私信息。
篇(7)
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
(2)使用安全的密码策略
。设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;
篇(8)
一、无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
二、保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
篇(9)
1.1医院网络内部管理
(1)建立网络安全管理规章制度加强医院网络安全管理的重要措施之一就是建立健全网络安全管理规章制度,提高医院全员认识到医院网络安全管理重要性,设立以院领导为核心的信息安全领导小组,明确领导小组相应责任并落实信息管理人员责任,加大投入资金,对网络安全管理软硬件设备进行更新升级,对网络安全管理专业队伍需要加强建设,信息网络人员必须要有责任心及熟练的网络应用技术,同时要坚持管理创新及技术创新,根据本院信息网络的运行情况,制定应对网络危机的预案。(2)网络安全教育网络安全工作的主体是人,医院的各级领导、组织和部门工作人员从思想和行动上都要重视医院信息系统网络安全,提高全员安全意识,树立安全人人有责,由于医院的内部网络涉及临床科室、医技科室、职能科室等部门,计算机操作水平参差不齐,因此,必须定期培训计算机网络客户端的使用人员,使他们具有一些计算机方面的专业知识,尽量减轻医院计算机网络信息系统管理人员的工作压力,当其客户端出现问题之后能得到及时的解决,减少人为的差错及故障发生。(3)网络设备管理网络设备是整个信息网络安全的基础,整个网络中的关键设备包括服务器、数据储存、中心交换机、二级交换机、光缆等,因此这些设备的性能直接影响到整个信息系统的安全运行,从可靠性、稳定及容易升级等方面对网络设备进行选择,对重要设备最好采用双机热备份的方式实现系统集群,还要配备两套UPS电源,避免突然断电造成服务器数据流失,提高系统可用性,服务器以主从或互备方式工作,当一旦某台设备发生故障,另外一台设备可以立即自动接管,变成工作主机,将系统中断影响降到最低;此外,使用物理隔离设备将外部互联网和内部信息系统进行隔离,确保重要数据不外泄。(4)实时监控用户上网行为应用主机安全监控系统,实现对用户上网行为的实时监控,从而让网管及时了解和控制局域网用户的的上网行为,在加强安全防护的同时也可以提高工作效率。主机安全监控系统可以对内部人员上网行为日志、客户端访问行为、终端行为日志、医院IT开发运维人员访问行为等信息进行监控、记录、审计能力,结合日志数据挖掘技术和关联分析功能,实现对非法行为的实时告警,输出符合医院纪委监察部门要求的完整的事件报告,既能够及时发现并阻断非法行为,也可以监控某些人员利用其特权对敏感数据进行非法复制。(5)数据备份为了防止信息系统中的数据丢失,可以采用双机备份方式。两台服务器采用相同的配置,安装相同的系统和数据库系统,实时将主服务器上数据库备份到备用服务器上,当主服务器无法正常工作时,启用备用服务器项替工作,同时信息系统管理部门可以采用一些有关的备份软件对其医院计算机网络信息系统的数据进行及时的监测,当这些数据出现安全方面的问题时,及时对其数据进行备份;此外,也可采用实时备份数据库,采用数据镜像增量备份方式。(6)定期进行安全分析,对新发现的安全隐患进行整改运用技术手段定期进行安全分析,及时发现安全隐患并快速清除是完善医院网络安全管理的重要措施。定期进行安全分析是研究信息系统是否存在的漏洞缺陷,是否存在风险与威胁,针对发现的安全隐患,制定出相应的控制策略,主要是从软件设置、物理环境、电源配送、权限分配、网络管理、防火、防水、防盗、服务器交换机管理、温度湿度粉尘、人员培训及安全教育等各方面进行分析,寻找出当前的安全隐患,针对这些隐患提出有针对性的解决方案。
1.2防止外来入侵
(1)中心机房管理作为医院信息系统的“神经中枢”及数据存储中心的机房安全是整个信息系统安全的前提,中心机房的安全应注意机房用电安全技术、防火、计算机设备及场地的防雷和计算机机房的场地环境的要求等问题,为了避免人为或自然破坏设备,应尽可能保证各通信设备及相关设施的物理安全,使系统和设备处于良好的工作环境,对于信息网络的可靠性,可以通过冗余技术实现,包括设备冗余、处理器冗余、链路冗余、模块冗余、电源冗余等技术来实现。(2)计算机病毒防护杜绝病毒传染源是防范病毒最有效的办法,除特殊科室需要外,将所有网络工作站的外部输入设备(如光驱、软驱等)撤除,所有内网的计算机不准接U盘,在服务器及每个工作站点采用多层的病毒防卫体系,此外,还可以使用桌面管理软件来自动从系统厂商下载补丁,自动检查客户端需要安装的补丁、已经安装的补丁和未安装的补丁,以及限制或禁止移动存储介质的接入,减少病毒传播的途径,从而减少医院网络受到病毒的威胁。(3)防止黑客入侵防止黑客入侵是医院网络安全工作的重点,可以采用防火墙技术、身份认证与授权技术等技术防止黑客入侵。其中,防火墙技术是在医院内部网和医院外部网之间的界面上构造一个保护层,对出入医院网络的访问和服务进行审计和控制;在防火墙基础上,建立黑客入侵检测系统,对黑客入侵、非法登录、DDOS攻击、病毒感染与传播、非法外连等进行监控,对网络设备、网络通讯通道等进行监控,详细掌控各类网络设备的运行状态,实时监督分析通道质量状况,对各类终端用户的补丁安装、软件安装、外接设备(U盘)等操作进行实时监控管理,发现有违规行为及时报警,也可以自动启动阻止机制来控制非法行为;在医院信息系统中,采用数字签名技术实现系统信息内容安全性,完整性和不可抵赖性等方面的要求,特别是通过采用安全审计或时间戳等技术手段解决传统纸质病历无法解决的信息可靠性问题,此外,还采用信息加密技术可以有效的保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
篇(10)
1.2目前医院计算机和网络的隐患正因为它的不可或缺,所以计算机网络的良性安全运行更加重要。在新形势下,医院计算机及网络确实在操作和运行上存在着巨大的隐患,一旦出现问题,轻则计算机系统崩溃,重则影响到医院的正常运行。
(1)硬件损坏。主要是不能及时维修、清洗计算机,或是维护计算机的时候方法不得当,导致计算机硬件造成损害。
(2)系统不及时升级。系统不能及时升级可以造成系统的运行不畅或资料无法编辑,医院有很多重要数据就是因为系统存在的瑕疵而瘫痪。
(3)计算机病毒。自从计算机网络诞生那一天起,计算机病毒就伺机侵害电脑系统,监控不力或是恶意入侵,都会造成病毒透过计算机漏洞侵入。它会造成电脑屏幕异常,网络传递缺失,死机,整个系统崩溃等恶劣后果。
(4)信息泄密。医院自身具有隐私性的,病人的资料和信息是保密的,而有关专业领域的知识也是的。当计算机遭到外网侵入,自然会造成信息的泄密,从而导致医院的损失和信用度下降。因此,安全管理网络变得愈发重要。
(5)人为维护意思淡薄。主要是医院工作人员的责任心和安全意识缺乏,对计算机的硬件和软件随意进行破坏。
二、医院计算机的维护手段医疗领域的信息的存储、运行和交互都需要计算机,那么在发现如此多的隐患时,关于计算机的维护就变得尤为重要。
(1)计算机的保养。任何物品要想延长使用寿命都要小心呵护,计算机也不例外,对于计算机的保养,应当及时擦拭,用专用的刷子沁入清洁剂进行硬件的维护。经常对屏幕进行保养,还有就是室内的线路、环境及时整理和清洁,保证计算机处于一个稳定舒适的状态下。
(2)软件的防护。主要是应对计算机上的系统、程序和数据进行定期的维护和升级,对于重要数据应当妥善处理并且加以备份,保证它们不会被遗忘和丢失。
(3)计算机知识的普及。既然是信息化的医院,那么工作人员对于电脑知识的学习是必要的。应该号召全医院进行计算机的学习,从人为角度维护计算机的性能、工作和安全。
三、安全管理计算机网络如果没有网络,计算机只是一台笨拙的大型笔记本,网络决定着医院信息和数据的交互和探讨,所以如何管理网络是决定整个医院正常运行的关键所在。
3.1加强网络安全网络安全与否体现着医院价值。一旦网络遭到入侵或是变更,那么医院的价值会受到贬损,权威性和安全性都会下降。网络安全的加强,需要的是高监控的管理和数据加密,高监控主要是网络防火墙的使用和病毒查杀软件的安装,首先得保证这些软件本身的安全性,能抵御外网的入侵和黑客的攻击;而数据加密则是通过对计算机网络的数据和有关信息重新编辑,利用信息隐藏功能让非法用户获取不到医院信息的内容,这一技术可以有效地防止医院机密数据的泄露,保障医院网络的安全运行。
3.2网络制度和规章的建立应该规定医院系统的网络登录必须设置登录账号,配合身份权限才能登陆,避免非法分子窃取相关信息,避免外部端口的接入防止不良信息侵害系统内部,影响网络安全。科学合理的落实各项制度和规章建设,并且应当做好防控和布控工作,避免网络出现非常情况下的失联或是混乱。医院有医疗规章,更需要有计算机网络安全防护规章,从制度加强网络安全就是从根本上消除医院网络的潜在危险性。
3.3计算机维护小组和专业技术人员的设立在加强整个医院的计算机及网络安全维护意识的同时,更应该聘请专家团队,组成计算机维护中心,让有这方面专长的人员随时为计算机网络出现的问题作出检测和解决方案,同时可以负责日常的计算机保养和维护。例如:可以让专业技术人员加强相关网络设备使用人员的安全防范意识,并教他们正确的使用方法,通过技术维护和管理防范的结合对整个医院计算机网络进行有效的维护。
篇(11)
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
利用软件伪造IP包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造IP地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。
2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。
3.通过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。
4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术,入侵检测、入侵防
御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
二、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VPN
VPN(VirtualPrivateNetwork)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VPN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道;在网络层有IPSec协议,它是一种由IETF设计的端到端的确保IP层通信安全的机制,对IP包进行的IPSec处理有AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)两种方式。
3.防毒墙
防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址,以及TCP/UDP端口和协议。
三、网络检测技术分析
人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:
1.入侵检测
入侵检测系统(IntrusionDetectionSystem,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵防御
入侵防御系统(IntrusionPreventionSystem,IPS)则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IPS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IPS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IPS就是防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,同时具备网络地址转换、服务、流量统计、VPN等功能。
3.漏洞扫描
漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
四、结语
尽管传统的安全技术在保障网络安全方面发挥了重要作用,但在一个巨大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能。用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络安全问题,网络安全研究人员和网络安全企业也不断推出新的网络安全技术和安全产品。
参考文献:
[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19
[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊,2008,(3):74~75
